Problem opsiclientd verify_server_cert

Antworten
skywalker
Beiträge: 5
Registriert: 20 Okt 2016, 14:43

Problem opsiclientd verify_server_cert

Beitrag von skywalker »

Hallo,
seit der letzten Aktualisierung des Opsi-client-agent (4.1.1.29-1) habe ich Probleme bei der Verbindung des Clients zum Opsi-Server:

Code: Alles auswählen

[6] [2021-02-10 14:43:06.649] [service connection                      ] Server verification enabled, using cert file 'C:\opsi.org\opsiclientd\server-certs\opsi.fqdn.org.pem'   (OpsiService.py:322)
[5] [2021-02-10 14:43:06.650] [service connection                      ] Connecting to config server 'https://opsi.fqdn.org:4447/rpc' #1   (OpsiService.py:333)
[3] [2021-02-10 14:43:06.650] [service connection                      ] Server should be verified by CA, but CA 'C:\opsi.org\opsiclientd\server-certs\opsi-ca-cert.pem' not found, skipping verification   (OpsiService.py:347)
[6] [2021-02-10 14:43:06.650] [service connection                      ] Server verfication by server certificate enabled for host 'opsi.fqdn.org'   (HTTP.py:279)
[6] [2021-02-10 14:43:06.724] [                                        ] Failed to process method 'backend_getInterface': Opsi service verification error: [Error 2] No such file or directory   (JSONRPC.py:143)
[3] [2021-02-10 14:43:06.724] [service connection                      ] Failed to connect to config server 'https://opsi.fqdn.org:4447/rpc': Opsi service verification error: [Error 2] No such file or directory   (OpsiService.py:390)
Die config für den Opsiclientd hat lediglich die Option zur Verifizierung des Server-Zertifikats (nicht jedoch die der CA-Validierung) aktiviert:

Code: Alles auswählen

[6] [2021-02-10 14:43:00.398] [opsiclientd                             ] Setting config value global.verify_server_cert to 'True'   (Config.py:325)
[6] [2021-02-10 14:43:00.398] [opsiclientd                             ] Setting config value global.verify_server_cert_by_ca to 'False'   (Config.py:325)
Das Zertifikat des Opsi-Depot-Servers ist ein gültiges und von einer internen CA signiertes Zertifikat und ist auf dem Client unter C:\opsi.org\opsiclientd\server-certs\opsi.fqdn.org.pem korrekt hinterlegt. Zudem ist die CA auch im Windows-Zertifkatsspeicher als vertrauenswürdig hinterlegt.

Bis zum letzten Update des Opsi-Client-Agent gab es mit dieser Konfiguration keine Probleme.

Alternativ würde ich gerne die interne CA hinterlegen und anhand derer das Depot-Zertifikat validieren, aber dies scheint entsprechend der Doku nur mit von opsi.org ausgestellten Zertifikaten zu funktionieren :(
Antworten